Centos7 安全加固密码规则

Centos7 安全加固密码规则 vi /etc/login.defs

PASS_MAX_DAYS 60 # 密码到期时间 #设置密码过期的天数。 用户必须在几天内更改密码。 此设置仅在创建用户时才会产生影响，而不会影响到现有用户。 如果设置为现有用户，请运行命令“chage -M（days）（user）” PASS_MIN_DAYS 3 # 初始密码更改时间 #设置可用密码的最短天数。 至少在改变它之后，用户必须至少使用他们的密码。 此设置仅在创建用户时才会产生影响，而不会影响到现有用户。 如果设置为现有用户，请运行命令“chage -m（days）（user）” PASS_MIN_LEN 8 # 密码最小长度 #用户不能将密码长度设置为小于此参数。 PASS_WARN_AGE 7 # 密码过期提示时间 #在到期前设置警告的天数。 此设置仅在创建用户时才会产生影响，而不会影响到现有用户。 如果设置为存在用户，请运行命令“chage -W（days）（user）”

账号锁定规则 vi /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

even_deny_root 也限制root用户；

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

Centos7 ssh和vsftp限制IP登录白名单和黑名单（白名单优先级大于黑名单） vi /etc/hosts.deny　　（黑名单） 最后面加上两行代码的意思是，限制sshd和vsftpd服务所有IP登陆 # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! sshd:ALL vsftpd:ALL vi /etc/hosts.allow　　（白名单） 最后面加上的代码意思是，该IP可以访问sshd和vsftpd服务 # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # #sshd sshd:192.168.199.171:allow #vsfptd vsftpd:192.168.199.171:allow